KR19990008382A - 적어도 하나의 서버에 대한 스테이션의 액세스를 보호하기 위한 방법 및 이러한 방법을 실현하기 위한 장치 - Google Patents
적어도 하나의 서버에 대한 스테이션의 액세스를 보호하기 위한 방법 및 이러한 방법을 실현하기 위한 장치 Download PDFInfo
- Publication number
- KR19990008382A KR19990008382A KR1019970707909A KR19970707909A KR19990008382A KR 19990008382 A KR19990008382 A KR 19990008382A KR 1019970707909 A KR1019970707909 A KR 1019970707909A KR 19970707909 A KR19970707909 A KR 19970707909A KR 19990008382 A KR19990008382 A KR 19990008382A
- Authority
- KR
- South Korea
- Prior art keywords
- server
- security
- station
- access
- application
- Prior art date
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
- H04L63/0209—Architectural arrangements, e.g. perimeter networks or demilitarized zones
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/14—Session management
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computer Security & Cryptography (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Management, Administration, Business Operations System, And Electronic Commerce (AREA)
- Storage Device Security (AREA)
Abstract
본 발명은 적어도 하나의 서버에 대한 스테이션의 액세스를 보호하기 위한 방법 및 이러한 방법을 실현하기 위한 장치에 관한 것이다.
적어도 하나의 서버에 대한 액세스를 보호하기 위한 방법은 멀티세션, 멀티포트 통신 프로토콜을 사용하여 네트웍(42)을 통하여 그것의 목적지가 적어도 하나의 애플리케이션 서버인 사용자 스테이션(2)으로부터 액세스를 보호할 수 있게 하는 방법에 있어서, 케이션 세션 동안 보호되어야 하는 사용자 스테이션과 보호되어야 하는 서버 또는 서버들 사이의 중간에 위치한 보안 프로세서(1)와 사용자 스테이션(2) 사이에 병렬 보안 세션을 시스템적으로 설치하는 단계와, 보안 세션을 주기적으로 초기화시키는 단계로 구성되는 것을 특징으로 한다.
Description
특히 통신 네트웍에서 서버와 스테이션 사이의 통신이 서버의 협력으로 스테이션에서 실행되는 애플리케이션에 대한 감지정보를 포함할 때 통신 네트웍에서 서버와 스테이션 사이의 통신을 보호할 필요성은 주지된 사실이다. 현재까지의 보호원리는 네트웍에서 통신 프로토콜의 레이어(layers)와 애플리케이션 사이에 보호 프로그램의 일부를 부가하는 것으로 이루어진다. 이러한 프로그램 레이어는 터미널과 서버 모두에 인스톨되었다. 이러한 방법의 단점은 애플리케이션, 또는 보호 프로그램 그 자체와 특정 애플리케이션 사이에 인터페이스를 생성하는 보호 프로그램과 통신 레이어에 대한 수정을 요구한다는 것이다. 따라서, 각각의 애플리케이션에 대하여 특수한 프로그램 인터페이스를 개발하는 것이 필요하다. 더욱이, 터미널이 멀티서버 네트웍에 접속되어 있는 한 각각의 서버는 보호되지 않으면 안되었다. 각각의 서버를 보호하는데 필요한 프로그래밍 시간은 애플리케이션을 보호하는데 필요한 운영비에 큰 부담이 되고 있다.
본 발명은 적어도 하나의 서버에 대한 스테이션의 액세스를 보호하기 위한 방법 및 이러한 방법을 실현하기 위한 장치에 관한 것이다.
도 1은 보호방법을 실현하는 장치의 개략도;
도 2A는 터미널의 보안 소프트웨어에 의해 운영되는 대화박스;
도 2B는 리더에 어떤 카드도 없는 것을 지시하는 다른 대화박스;
도 2C는 사용자 개인 식별번호를 요구하는 다른 대화박스;
도 2D는 목적 서버를 선택할 수 있게 해주는 다른 대화박스;
도 2E는 문자열이 입력될 수 있게 해주는 다른 대화박스;
도 2F는 메인 윈도우를 나타낸다.
본 발명의 목적은 터미널에서 실행되는 애플리케이션 프로그램의 어떠한 수정이나 서버에 대한 어떠한 수정을 필요로 하지 않는 보호방법을 제안하는 것이다.
이러한 목적은 이 방법이 애플리케이션 세션 동안 보호되어야 하는 사용자 스테이션과 보호되어야 하는 서버 또는 서버들 사이의 중간에 위치한 보안 프로세서와 사용자 스테이션 사이에 병렬 보안 세션을 시스템적으로 설치하는 단계와, 보안 세션을 주기적으로 초기화시키는 단계로 구성되어, 멀티세션, 멀티포트 통신 프로토콜을 사용하여 네트웍을 통하여 그것의 목적지가 적어도 하나의 애플리케이션 서버인 사용자 스테이션으로부터 액세스를 보호할 수 있게 한다는 사실에 의해 달성된다.
본 발명의 다른 특징에 따르면, 보안 세션을 시스템적으로 개설하는 단계는 스테이션에 의해 요구되는 애플리케이션과 관련된 소스 IP 어드레스와 적어도 하나의 포트번호를 네트웍을 통하여 스테이션에 의해 전송하는 단계와;
보안 프로세서에 의해 애플리케이션과 관련된 보안 스크립트에 대하여 조사하는 단계와;
보안 프로세서와 스테이션 사이의 보안 세션을 개설하는 단계와;
보안 프로세서에 의해 애플리케이션에 사용된 리모트 서버의 이름과 어드레스 및 IP 어드레스와 포트번호를 통신함에 의해 리모트 서버와의 접속 개방에 대하여 프로세서의 로컬 파일을 조사하는 단계로 구성된다.
본 발명의 다른 특징에 따르면, 애플리케이션과 관련된 스크립트는 보안 프로세서에 의해 선택된 리모트 서버와 스테이션 사이에 링크를 직접적으로 개설하는 단계로 구성된다.
본 발명의 다른 특징에 의하면, 기억된 테이블에 정의되어 있는 구현될 보안 스크립트는 서버로부터 요구된 애플리케이션에 대한 선택적인 액세스를 제공하기 위하여 사용자 인증, 사용자 식별, 사용자 권리의 검정, 증명, 암호키 계산, 서명 계산, 사용자 프로필 검정 중 하나 또는 그 이상을 선택할 수 있게 해준다.
본 발명의 다른 특징에 따르면, 보안 프로세서는 대용량 메모리에 순차 접속 번호, 접속일자 및 시작과 종료시간, 소스 IP 어드레스와 적어도 하나의 포트번호, 사용된 보안 대상물의 식별자, 선택된 리모트 서버, 목적 IP 어드레스 및 포트번호, 및 실행규칙으로 구성되는 저널을 기억한다.
본 발명의 다른 특징에 따르면, 보안 프로세서는 메모리의 제 2 테이블에 프로세서에 의해 처리된 애플리케이션의 리스트, 접속 타입의 함수로서 실행될 동작, 구현될 보안 스크립트, 블랙 리스트, 화이트 리스트 및 서브스크라이버 리스트에 의해 정의된 사용자의 액세스 권리, 및 리모트 서버에 대한 액세스의 승인에 대한 절차를 기억한다.
본 발명의 다른 목적은 이러한 방법을 구현할 수 있게 해주는 장치를 제안하는 것이다.
이러한 목적은 보안 프로세서가 스테이션에 의해 요구된 애플리케이션의 함수로서 보안 프로세서에 의해 선택된 서버와 스테이션 사이의 통신을 개설하기 위한 수단과 제어하기 위한 수단을 포함하여, 카드와 터미널과 관련된 카드 리더와의 교환 뿐만 아니라 멀티세션, 멀티포트 통신 프로토콜과의 교환을 관리하기 위한 보안 소프트웨어가 인스톨된 터미널과, 보안 프로세서 사이에서 본 발명 장치에 의해 상기 방법이 구현될 수 있다는 사실에 의해 달성된다.
본 발명의 다른 특징에 따르면, 통신을 개설/제어하기 위한 수단은 터미널과 서버 사이의 직접 통신을 개설하거나, 또는 그것의 동작에 필요한 메모리가 장착된 마이크로프로세서로 구성되며, 통신 서버와 보안 엔진 프로그램을 실행하는 메인 프로세서에 의해 결정된 바와 같이, 보안 스크립트를 해석할 수 있게 해주는 보안 제어모듈 SAM과 통신을 수행하는 보안장치에 의해 제어되는 보안 세션을 개설한 후 터미널과 서버 사이의 통신을 개설하는 것을 가능하게 해준다.
본 발명의 다른 특징에 따르면, 통신을 개설하기 위한 수단은 예를 들어, 이더넷 또는 토큰 링 카드와 같은 2개의 로컬 네트웍 카드로 구성되며, 하나의 통신카드는 스테이션에 연결되고, 다른 하나의 통신카드는 서버에 연결되어 멀티세션, 멀티포트 통신 프로토콜를 사용하여 서버와 스테이션을 통신한다.
본 발명의 다른 특징 및 이점은 첨부된 도면을 참고하여 이루어지는 다음의 설명에 따라 명확하게 될 것이다.
이하에 도 1 및 도 2를 참고하여 본 발명을 설명한다. 본 발명은 링크(42,40,41)에 의해 구성되는 네트웍을 통하여 하나 또는 그 이상의 서버(30,31)와 통신하는 터미널(2)에 의해 구성되는 네트웍에 인스톨된다. 터미널은 서버의 네트웍에 국부적으로 접속되거나 또는 임의의 통신 네트웍, 예를 들어 접속된 네트웍, GSM, ISDN을 통하여 접속되는 이동 가능한 포터블 마이크로컴퓨터이다. 다수의 애플리케이션은 예를 들어, 텔넷(Telnet)과 같은 원격 터미널 애플리케이션, 또는 예를 들어 FTP와 같은 파일 전송 서비스, 또는 HTTP 또는 현재 알려진 임의의 다른 애플리케이션과 같은 인터넷(INTERNET)에 사용되는 프로토콜과 같은 네트웍에서 돌아간다. 이러한 네트웍은 예를 들어, TCP/IP 프로토콜과 같은 멀티세션, 멀티포트 타입의 통신 프로토콜을 운영하는 터미널의 컴퓨터에서 예를 들어 이더넷(Ethernet) 카드(23)와 같은 로컬 네트웍 카드에 의해 구성된다. 또한 각 서버(30,31)는 이더넷 카드(302,312)와 관련 TCP/IP 프로토콜(301,311)을 포함한다. 네트웍이 몇개의 서버를 포함할 때 네트웍을 포함하기 위하여 그것은 서버와 같은 동일한 하우징 내에 위치한 서버의 접합 노드에, 네트웍 내의 하나 이상의 터미널(2)과 대화하는 보안 프로세서(1)를 중재하는데 충분하다. 각각의 터미널(2)은 하나의 소프트웨어로 이루어진 보안 애플리케이션(27)과 포터블 대상물(22)의 리더(21)를 갖는 물리적인 링크(20)가 설치되어 있다. 이들 포터블 대상물(22)은 칩 카드 또는 PC/MCIA 카드일 수 있다.
보안 프로세서(1)는 대응하는 메모리를 갖는 PC(개인용 컴퓨터) 보드로 구성되는 중앙처리장치(14)로 이루어지며, 버스를 통하여 각각의 링크(40, 41)에 의해 각각의 서버(30,31)에 연결된 이더넷 타입의 제 1 네트웍 카드(13) 및 링크(42)에 의해 터미널에 연결된 이더넷 타입의 제 2 네트웍 카드(12)와 통신을 수행한다. 버스(11)는 또한 처리장치, 도시되지 않은 메모리, 및 보안 제어모듈 SAM(Security Application Module)(151,152)으로 구성되는 보안 애플리케이션 카드(15)와 통신을 수행한다. 인스톨은 n카드를 포함하며, 각 카드는 n보안 제어모듈 SAM(151,152)으로 구성된다. 이들 모듈 SAM(151,152)은 리더(21)와 포터블 대상물과의 접속시에 기본 비밀키의 손상방지를 보장하면서 인증, 검정, 암호키 계산 등의 보안 기능을 수행할 수 있게 해준다. 이들 보안 기능은 또한 터미널(2)의 보안 애플리케이션(27)에 대하여 리더(21)에 의해 링크된 칩카드 또는 포터블 대상물(22)에 포함된 정보를 사용한다.
처리장치(14)는 보안 프로세서(1)가 동시에 몇개의 태스크를 실행할 수 있게 예를 들어, OS2 타입의 멀티태스크 오퍼레이팅 시스템(173)을 운영한다. 각각의 이더넷 카드(12,13)는 TCP/IP 프로토콜(131,121)과 같은 네트웍에 특수한 통신 프로토콜을 실현할 수 있게 해주는 소프트웨어 레이어를 포함한다. 오퍼레이팅 시스템에 부가하여 처리장치(14)는 TCP/IP 네트웍 프로토콜을 사용하는 제 1 카드(13)와 제 2 카드(12) 사이에 통신을 처리하기 위한 레이어(1721)를 포함하는 통신 서버(172)를 운영한다.
이러한 통신 서버(172)의 역할은 서버에 접속된 제 1 카드(13)와 제 2 이더넷 카드(12) 사이의 링크가 직접 이루어져야 하는지 또는 만약 링크가 단지 보안 절차의 구현후에 이루어질 수 있는 것인지를 판단하는 것이다. 이러한 판단은 애플리케이션과 구현될 적어도 보안 스크립트(Script) 사이의 대응 테이블을 구성하는 메모리(16)에 기억된 파일 APPLI.INI을 판독하여 이루어진다. 만약 구현이 요구되는 경우 이러한 통신 서버는 보안 프로세서(1)의 보안 애플리케이션 카드(15)의 동작을 트리거시키는 보안 엔진(171)을 호출하여, 따라서 보안 기능이 구현될 수 있다.
보안 엔진(MS)은 보안 네트웍을 구성하고, 보안 프로세서에 의해 처리된 애플리케이션의 리스트를 정의하며, 실행된 동작을 정의하고, 구현될 보안 스크립트를 정의하며, 사용자의 액세스권과 인증 스케줄을 정의할 수 있게 해준다. 터미널에 인스톨된 보안 애플리케이션(27)은 또한 윈도우즈(Windows)(등록상표) 소프트웨어와 같은 윈도우 디스플레이 타입의 오퍼레이팅 시스템을 운영한다. 일단 보안 소프트웨어(27)가 스테이션에 로딩되면, 이 스테이션은 보안 애플리케이션의 시동후에 나타나는 메인 윈도우(도 2F)를 표시함에 의해 터미널의 사용자가 보안 접속을 시도하거나, 보안접속을 중단하거나 또는 애플리케이션으로부터 빠져나올 수 있게 한다.
도 2F에 도시된 바와 같이 3개의 유용한 기능 중 하나의 선택은 원하는 기능에 하이라이트를 이동한 후 마우스 클릭을 가지고 그것을 선택하거나 또는 키보드의 엔터키를 눌러서 이루어진다. 사용자는 보안 프로세서(1)의 IP 어드레스와, 그가 사용하기를 원하는 애플리케이션에 할당된 포트번호(예를 들어, 보안 애플리케이션에 대하여 X, FTP 애플리케이션에 대하여 21, 텔넷에 대하여 23 등)를 표시함에 의해 보호된 네트웍에 접속된다. 보안 프로세서(1)는 스테이션에서 송부된 포트번호와 관련된 보안 스크립트에 대한 테이블을 검색하고 그후 보안 애플리케이션(27)과 통신을 개설하여 특히 포터블 사용자 대상물(22)의 인증과 그의 개인 식별번호(PIN)를 통하여 사용자의 식별을 포함하는 보안 스크립트를 구현한다. 선택적으로 보안 프로세서(1)는 사용자가 화이트 리스트(white list)에 의해 정의되어 사용이 허용된 사람과 블랙 리스트(black list)에 정의되어 사용이 허용되지 않은 사람을 나타낸 상태로 스테이션에 애플리케이션의 리스트를 표시할 수 있다.
사용자는 그 후 키보드 또는 마우스의 작동에 의해 서버-애플리케이션 쌍을 선택한다. 일단 보안 스크립트가 정상적으로 돌아가면 사용자는 선택을 유효화하여 선택된 애플리케이션(텔넷, FTP, HTTP 등)을 기동시킨다. 보안 프로세서(1)는 터미널(2)로부터 애플리케이션에 대응하는 포트번호를 접수하여 애플리케이션 허버의 IP 어드레스를 그것의 테이블로부터 결정하여 요구되는 애플리케이션 서버와 접속을 개설한다. 일단 터미널(2)과 서버(30,31) 중 하나 사이에 접속이 개설되면, 보안 프로세서는 터미널(2)에 주기적인 보안 검사를 수행함에 의해 개설된 애플리케이션 세션을 감시한다. 만약 비정상적인 보안 조건(카드 제거, 아이들 기간, 신호 오계산 등)이 검출되는 경우 보안 프로세서(1)는 원격 서버에 대한 접속을 차단하여 보안 세션을 종료한다.
다수의 보안 스크립트가 사용될 수 있고 활성화되는 어떤 스크립트의 선택은 접속 데이터에 표시된 애플리케이션의 포트번호의 함수로서 이루어진다. 이 포트번호와 관련 스크립트 정보는 보안 프로세서(1)의 대용량 메모리(16)에 있는 테이블(161)의 일부를 구성하는 파일 LOGON.CAM에 있다. 보안 접속의 활성화는 데이터 표시와 캡춰; 소스와 목적지 IP 어드레스 검정; 패스워드에 의한 액세스 제어; 카드 홀더의 식별, SAM 보안 모듈을 사용한 인증, 암호, 서명, 증명서 계산, 정보의 판독과 기록, 카드 제거 검사, 및 블랙 리스트, 화이트 리스트, 및 서브스크라이버에서 원격 서브를 액세스할 사용자의 권리의 검정(여기서 액세스 권리와 리스트는 테이블(161)의 일부를 구성함)을 실행할 수 있게 만드는 스마트 카드에 의한 액세스 제어; TCP/IP 통신 프로토콜의 각종 서비스를 사용할 권리의 검정; 및 사용자에게 승인된 날자와 타임 슬롯의 검정 또는 선택된 머신에 대한 액세스의 검정(승인된 날자와 타임 슬롯은 열방향의 타임 슬롯과 행방향의 사용자 또는 머신의 아이덴티티를 포함하는 테이블이 대상체임)중 일 이상을 실행하는 것을 가능하게 하는 로그온(logon)스크립트를 구현한다.
끝으로 개인화 메뉴의 표시에 의해 사용자는 그가 사용하도록 승인된 애플리케이션 또는 리모트 서버들 중 하나를 선택할 수 있게 한다. 파일 APPLI.INI은 메모리(16)에 기억시키며 애플리케이션의 함수로서 활성화될 보안 스크립트뿐 아니라 활성화 기간을 식별하는 것을 가능하게 하며, 그것은 선택된 스크립트와 활성화 기간에 따라서 선택된 리모트 서버의 애플리케이션의 함수로서 주기적으로 스크립트의 활성화를 트리거하는 것을 가능하게 만든다. 주기적인 스크립트는 리모트 사용자가 실제로 스크립트에 의해 선택된 전자 데이터(랜덤수) 서명을 실행하기 위하여 터미널에 카드를 요구함에 의해 지워진 사람인 것을 검정한다. 스크립트는 SAM을 사용하여 이들 서명이 적당한 암호키를 갖는 카드에 의해 생성된 것을 검정할 의무가 있다. 이 방법은 다른 것들 사이에 네트웍에 침입장치에 의해 IP 어드레스의 도난을 보호할 수 있게 한다.
사용자가 리모트 서버와 애플리케이션을 선택할때 보안 프로세서는 애플리케이션의 포트번호를 검색하여 보안 프로세서에 의해 선택된 리모트 서버와의 접속을 열기 위해 로컬 파일을 사용한다. 보안 프로세서에 의해 선택된 이 서버는 사용자에 의해 지적된 것과 다를 수 있다. 사용자는 단순하게 보안 프로세서를 통하여 통신을 받는다. 이들 통신은 그것의 포트번호를 경유하여 스테이션(2)을 번지지정한다.
끝으로 보안 프로세서는 보안 엔진(171)을 사용하여 대용량 메모리(16)에 순차 접속번호, 접속일자 및 시작과 종료시간, 소스 IP 어드레스와 포트번호, 사용된 보안 대상체의 식별자, 선택된 리모트 서버의 이름, 포트번호, 애플리케이션 세션 동안 스테이션과 서버 사이에 교환된 데이터량, 및 실행규칙을 기억하는 접속의 저널(162)을 보유할 수 있게 한다. 보안 애플리케이션(27)은 제 1 대화박스(도 2A)를 표시하기 위하여 윈도우 오퍼레이팅 시스템의 대화박스 표시 시스템과 윈도우를 사용할 수 있게 하는 표시 모듈(271)을 구성하며, 상기 제 1 대화박스에 의해 사용자는 패스워드를 입력하여 이 워드를 유효화하거나 또는 보안 접속을 중지하도록 동작을 삭제하는 것을 요청한다.
사용자 인터페이스는 또한 메세지 리더에 카드 없음과 당신의 카드를 삽입해 주세요를 표시하는 제 1 대화박스(도 2B) 뿐 아니라 절차를 유효화하거나 또는 삭제하기 위한 버튼을 사용하여 그의 개인 식별번호를 사용자가 입력할 수 있게 하는 제 3 대화박스(도 2C)를 표시할 수 있게 한다. 끝으로, 제 4 대화박스는 네트웍에 가능한 서버의 스크롤링 리스트로부터 선택이 가능하게 하여 목적 서버를 선택할 수 있게 한다. 여기에는 2개의 다른 대화박스가 있으며, 그 중 하나는 보안 프로세서로부터 수신된 메세지를 표시할 수 있게 하고, 다른 박스(도 2E)는 문자열의 입력을 요구할 수 있게 한다.
이에 의해 액세스가 보호되는 것이 이해될 것이며, 액세스 절차에 대한 조건은 보안에 대한 의무가 있는 사람에 의해 선택될 수 있고 반면에 주기적인 보안 접속은 그가 터미널에 대한 액세스 키를 갖고 있지 않는 경우 보안 절차는 그를 식별하지 못하여 세션을 종료하기 때문에 네트웍에 접속된 터미널에 누군가 딴사람으로서 가장함에 의해 일정한 순간에 해커가 접속하는 것을 방지한다. 끝으로, 이러한 해결방법은 접속을 실행하는 애플리케이션의 프로토콜에 대하여 투명성을 남기는 장점이 있다. 실제로 보안 시스템의 인스톨은 터미널 또는 서버에서 조차 애플리케이션을 수정하지 않고 수행된다.
보안 소프트웨어(27)와 보안 프로세서(1)를 인스톨하는 동안 설치자(installer)는 초기화 파일(SERVER.INI)에서 만약 소정의 지연 이후에 어떤 애플리케이션 접속이 없는 경우 프로세서(1)가 클라이언트 스테이션에 개설된 보안 접속을 닫아버릴 수 있게 하는 보안 지연과, 만약 소정의 지연 이후에 애플리케이션 접속에서 어떤 데이터 교환이 없는 경우 프로세서가 클라이언트 스테이션에 개설된 애플리케이션 접속과 보안 접속을 닫어버릴 수 있게 하는 불활성 지연을 정의한다.
이 분야의 통상의 지식을 가진자가 범위 내에서 이루어지는 다른 변형은 또한 본 발명 정신의 일부이다.
Claims (9)
- 멀티세션, 멀티포트 통신 프로토콜을 사용하여 네트웍(42)을 통하여 그것의 목적지가 적어도 하나의 애플리케이션 서버인 사용자 스테이션(2)으로부터 액세스를 보호할 수 있게 하는 적어도 하나의 서버에 대한 액세스를 보호하기 위한 방법에 있어서,애플리케이션 세션 동안 보호되어야 하는 사용자 스테이션과 보호되어야 하는 서버 또는 서버들 사이의 중간에 위치한 보안 프로세서(1)와 사용자 스테이션(2) 사이에 병렬 보안 세션을 시스템적으로 설치하는 단계와;보안 세션을 주기적으로 초기화시키는 단계로 구성되는 것을 특징으로 하는 적어도 하나의 서버에 대한 액세스를 보호하기 위한 방법.
- 제1항에 있어서, 상기 보안 세션을 시스템적으로 설치하는 단계는스테이션(2)에 의해 요구되는 애플리케이션과 관련된 소스 IP 어드레스와 적어도 하나의 포트번호를 네트웍을 통하여 스테이션에 의해 전송하는 단계와,보안 프로세서에 의해 애플리케이션과 관련된 보안 스크립트에 대하여 조사하는 단계와,보안 프로세서(1)와 스테이션(2) 사이의 보안 세션을 설치하는 단계와,보안 프로세서(1)에 의해 애플리케이션에 사용된 리모트 서버의 이름과 어드레스 및 IP 어드레스와 포트번호를 통신함에 의해 리모트 서버(30,31)와의 접속 개방에 대하여 프로세서의 로컬 파일을 조사하는 단계로 구성되는 것을 특징으로 하는 적어도 하나의 서버에 대한 액세스를 보호하기 위한 방법.
- 제2항에 있어서, 애플리케이션과 관련된 스크립트는 보안 프로세서에 의해 선택된 리모트 서버(30)와 스테이션(2) 사이에 링크를 직접적으로 설치하는 단계로 구성되는 것을 특징으로 하는 적어도 하나의 서버에 대한 액세스를 보호하기 위한 방법.
- 제1항에 있어서, 기억된 테이블에 정의되어 있는 구현될 보안 스크립트는 서버로부터 요구된 애플리케이션에 대한 선택적인 액세스를 제공하기 위하여 사용자 인증, 사용자 식별, 사용자 권리의 검정, 증명, 암호키 계산, 서명 계산, 사용자 프로필 검정 중 하나 또는 그 이상을 선택할 수 있게 해주는 것을 특징으로 하는 적어도 하나의 서버에 대한 액세스를 보호하기 위한 방법.
- 제1항에 있어서, 보안 프로세서는 메모리(16)에 순차 접속번호, 접속일자 및 시작과 종료시간, 소스 IP 어드레스 및 적어도 하나의 포트번호, 사용된 보안 대상물의 식별자, 선택된 리모트 서버, 목적 IP 어드레스 및 포트번호, 및 실행규칙으로 구성되는 저널(162)을 기억하는 것을 특징으로 하는 적어도 하나의 서버에 대한 액세스를 보호하기 위한 방법.
- 제1항에 있어서, 보안 프로세서(1)는 메모리(16)의 제 2 테이블(161)에 프로세서에 의해 처리된 애플리케이션의 리스트, 접속 타입의 함수로서 실행될 동작, 구현될 보안 스크립트, 블랙 리스트, 화이트 리스트 및 서브스크라이버 리스트에 의해 정의된 사용자의 액세스 권리, 및 리모트 서버에 대한 액세스의 승인에 대한 절차를 기억하는 것을 특징으로 하는 적어도 하나의 서버에 대한 액세스를 보호하기 위한 방법.
- 멀티세션, 멀티포트 통신 프로토콜, 스테이션에 인스톨되어 포터블 대상물과 스테이션과 관련된 포터블 카드 리더(21)와의 교환 뿐 아니라 멀티세션, 멀티포트 통신 프로토콜(24)과의 교환을 관리하기 위한 보안 소프트웨어를 사용하여 네트웍(42)을 통하여 그것의 목적지가 적어도 하나의 애플리케이션 서버인 사용자 스테이션(2)으로부터 액세스를 보안 프로세서(1)에 의해 보호하는 장치에 있어서, 상기 보안 프로세서(1)는 스테이션(2)에 의해 요구된 애플리케이션의 함수로서 보안 프로세서에 의해 선택된 서버(30)와 스테이션(2) 사이의 통신을 개설하기 위한 수단(12,13)과 제어하기 위한 수단(14,15,172,171)으로 구성되는 것을 특징으로 하는 사용자 스테이션으로부터 액세스를 보호하는 장치.
- 제7항에 있어서, 상기 통신을 개설/제어하기 위한 수단은 스테이션(2)과 서버 사이의 직접 통신을 개설하거나, 또는 그것의 동작에 필요한 메모리가 장착된 마이크로프로세서로 구성되며, 통신 서버(172)와 보안 엔진(171)으로부터 프로그램을 실행하는 메인 프로세서(14)에 의해 선택된 보안 스크립트를 해석할 수 있게 해주는 보안 제어모듈 SAM과 통신을 수행하는 보안장치에 의해 제어되는 보안 세션을 개설한 후 스테이션과 서버 사이의 통신을 개설하는 것을 가능하게 해주는 것을 특징으로 하는 사용자 스테이션으로부터 액세스를 보호하는 장치.
- 제7항에 있어서, 통신을 개설하기 위한 수단(12,13)은 2개의 통신카드로 구성되며, 하나의 통신카드는 스테이션에 연결되고, 다른 하나의 통신카드는 서버에 연결되어 멀티세션, 멀티포트 통신 프로토콜를 사용하여 서버와 스테이션을 통신하는 것을 특징으로 하는 사용자 스테이션으로부터 액세스를 보호하는 장치.
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| FR9602901A FR2745967B1 (fr) | 1996-03-07 | 1996-03-07 | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede |
| FR96-02901 | 1996-03-07 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| KR19990008382A true KR19990008382A (ko) | 1999-01-25 |
| KR100453320B1 KR100453320B1 (ko) | 2005-04-19 |
Family
ID=9489968
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| KR1019970707909A KR100453320B1 (ko) | 1996-03-07 | 1997-03-03 | 적어도 하나의 서버에 대한 스테이션의 액세스를 보호하기 위한 방법 및 그를 사용한 장치 |
Country Status (14)
| Country | Link |
|---|---|
| US (1) | US6657956B1 (ko) |
| EP (1) | EP0826281B1 (ko) |
| JP (1) | JPH10506744A (ko) |
| KR (1) | KR100453320B1 (ko) |
| CN (1) | CN1143495C (ko) |
| AR (1) | AR006137A1 (ko) |
| AU (1) | AU712487B2 (ko) |
| BR (1) | BR9702120A (ko) |
| DE (1) | DE69729356T2 (ko) |
| FR (1) | FR2745967B1 (ko) |
| HK (1) | HK1009687A1 (ko) |
| NO (1) | NO322668B1 (ko) |
| TW (1) | TW305093B (ko) |
| WO (1) | WO1997033415A1 (ko) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100465301B1 (ko) * | 1999-11-22 | 2005-01-13 | 엘지전자 주식회사 | 유닉스 서버를 위한 사용자 인증 인터페이스 시스템 및 그 방법 |
Families Citing this family (39)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7062781B2 (en) * | 1997-02-12 | 2006-06-13 | Verizon Laboratories Inc. | Method for providing simultaneous parallel secure command execution on multiple remote hosts |
| US7366900B2 (en) * | 1997-02-12 | 2008-04-29 | Verizon Laboratories, Inc. | Platform-neutral system and method for providing secure remote operations over an insecure computer network |
| KR19990086998A (ko) * | 1997-11-10 | 1999-12-15 | 피터 에프. 킹 | 무선 데이터 네트워크에서 보안된 경량 거래를 위한 방법 및 시스템 |
| FR2782435B1 (fr) * | 1998-08-13 | 2000-09-15 | Bull Cp8 | Procede de communication entre une station d'utilisateur et un reseau, notamment de type internet, et architecture de mise en oeuvre |
| US6961748B2 (en) | 1998-10-27 | 2005-11-01 | Murrell Stephen J | Uniform network access |
| JP2000187645A (ja) | 1998-12-22 | 2000-07-04 | Fujitsu Ltd | 情報提供システム及び方法 |
| GB2350971A (en) | 1999-06-07 | 2000-12-13 | Nokia Mobile Phones Ltd | Security Architecture |
| FR2797968B1 (fr) * | 1999-08-24 | 2001-10-12 | Schlumberger Systems & Service | Dispositif et procede de chargement de commandes dans une carte a circuit integre |
| US7343441B1 (en) * | 1999-12-08 | 2008-03-11 | Microsoft Corporation | Method and apparatus of remote computer management |
| US20020065874A1 (en) * | 2000-11-29 | 2002-05-30 | Andrew Chien | Method and process for virtualizing network interfaces |
| EP1356653B1 (en) * | 2001-01-24 | 2011-07-20 | Broadcom Corporation | Method for processing multiple security policies applied to a data packet structure |
| US8209753B2 (en) | 2001-06-15 | 2012-06-26 | Activcard, Inc. | Universal secure messaging for remote security tokens |
| US20020194499A1 (en) * | 2001-06-15 | 2002-12-19 | Audebert Yves Louis Gabriel | Method, system and apparatus for a portable transaction device |
| US20040218762A1 (en) | 2003-04-29 | 2004-11-04 | Eric Le Saint | Universal secure messaging for cryptographic modules |
| US8751647B1 (en) | 2001-06-30 | 2014-06-10 | Extreme Networks | Method and apparatus for network login authorization |
| US7363354B2 (en) * | 2001-11-29 | 2008-04-22 | Nokia Corporation | System and method for identifying and accessing network services |
| US7325065B1 (en) * | 2001-12-21 | 2008-01-29 | Aol Llc, A Delaware Limited Liability Company | Identifying unauthorized communication systems using a system-specific identifier |
| JP3861765B2 (ja) * | 2002-07-31 | 2006-12-20 | オンキヨー株式会社 | Avシステム |
| US20040221174A1 (en) * | 2003-04-29 | 2004-11-04 | Eric Le Saint | Uniform modular framework for a host computer system |
| US20050050324A1 (en) * | 2003-07-07 | 2005-03-03 | David Corbett | Administrative system for smart card technology |
| US7568107B1 (en) * | 2003-08-20 | 2009-07-28 | Extreme Networks, Inc. | Method and system for auto discovery of authenticator for network login |
| FR2863425B1 (fr) * | 2003-12-04 | 2006-02-10 | Gemplus Card Int | Procede et systeme de configuration automatique d'appareil dans un reseau de communication |
| US20050138380A1 (en) * | 2003-12-22 | 2005-06-23 | Fedronic Dominique L.J. | Entry control system |
| US7907935B2 (en) | 2003-12-22 | 2011-03-15 | Activcard Ireland, Limited | Intelligent remote device |
| JP2005276122A (ja) * | 2004-03-26 | 2005-10-06 | Fujitsu Ltd | アクセス元認証方法及びシステム |
| US8046578B1 (en) * | 2004-04-14 | 2011-10-25 | Hewlett-Packard Development Comopany, L.P. | System and method for providing HTML authentication using an access controller |
| US7760882B2 (en) * | 2004-06-28 | 2010-07-20 | Japan Communications, Inc. | Systems and methods for mutual authentication of network nodes |
| US7725716B2 (en) * | 2004-06-28 | 2010-05-25 | Japan Communications, Inc. | Methods and systems for encrypting, transmitting, and storing electronic information and files |
| US20060026268A1 (en) * | 2004-06-28 | 2006-02-02 | Sanda Frank S | Systems and methods for enhancing and optimizing a user's experience on an electronic device |
| EP1826969A4 (en) * | 2004-12-15 | 2011-03-23 | Junko Suginaka | DEVICE PROVIDING CONNECTION SERVICE TO A NETWORK |
| US7716316B2 (en) * | 2005-03-29 | 2010-05-11 | Microsoft Corporation | Methods and systems for performing remote diagnostics |
| US20060294588A1 (en) * | 2005-06-24 | 2006-12-28 | International Business Machines Corporation | System, method and program for identifying and preventing malicious intrusions |
| US20070156691A1 (en) * | 2006-01-05 | 2007-07-05 | Microsoft Corporation | Management of user access to objects |
| DE102007005638B4 (de) * | 2007-02-05 | 2014-10-09 | Siemens Aktiengesellschaft | Verfahren zur Autorisierung des Zugriffs auf mindestens eine Automatisierungskompente einer technischen Anlage |
| KR20100095243A (ko) * | 2009-02-20 | 2010-08-30 | 삼성전자주식회사 | Drm 모듈의 동작 제한 방법 및 그 장치 |
| EP2715617A4 (en) * | 2011-05-23 | 2014-11-26 | Mastercard International Inc | COMBICARD TRANSACTION METHOD AND SYSTEM HAVING APPLICATION PARAMETER UPDATE MECHANISM |
| WO2015094346A1 (en) * | 2013-12-20 | 2015-06-25 | Hewlett-Packard Development Company, L.P. | Digital switchboard |
| FR3041130B1 (fr) * | 2015-09-15 | 2019-11-22 | Ingenico Group | Gestion d'un affichage d'une vue d'une application sur un ecran d'un dispositif electronique de saisie de donnees, procede, dispositif et produit programme d'ordinateur correspondants |
| US10630654B2 (en) | 2017-03-22 | 2020-04-21 | Microsoft Technology Licensing, Llc | Hardware-accelerated secure communication management |
Family Cites Families (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JPS60171559A (ja) * | 1984-02-17 | 1985-09-05 | Hitachi Ltd | システム不正使用防止方式 |
| JPH0752434B2 (ja) * | 1989-02-21 | 1995-06-05 | 日本電気株式会社 | タイムシェアリングシステムにおける運用管理方式 |
| US5577209A (en) * | 1991-07-11 | 1996-11-19 | Itt Corporation | Apparatus and method for providing multi-level security for communication among computers and terminals on a network |
| FR2686755A1 (fr) * | 1992-01-28 | 1993-07-30 | Electricite De France | Procede de chiffrement de messages transmis entre reseaux interconnectes, appareil de chiffrement et dispositif de communication de donnees chiffrees mettant en óoeuvre un tel procede. |
| US5276735A (en) * | 1992-04-17 | 1994-01-04 | Secure Computing Corporation | Data enclave and trusted path system |
| US5416842A (en) * | 1994-06-10 | 1995-05-16 | Sun Microsystems, Inc. | Method and apparatus for key-management scheme for use with internet protocols at site firewalls |
| US5802320A (en) * | 1995-05-18 | 1998-09-01 | Sun Microsystems, Inc. | System for packet filtering of data packets at a computer network interface |
| US5757924A (en) * | 1995-09-18 | 1998-05-26 | Digital Secured Networks Techolognies, Inc. | Network security device which performs MAC address translation without affecting the IP address |
| US5602918A (en) * | 1995-12-22 | 1997-02-11 | Virtual Open Network Environment Corp. | Application level security system and method |
-
1996
- 1996-03-07 FR FR9602901A patent/FR2745967B1/fr not_active Expired - Fee Related
- 1996-03-15 TW TW085103119A patent/TW305093B/zh not_active IP Right Cessation
-
1997
- 1997-03-03 EP EP97907161A patent/EP0826281B1/fr not_active Expired - Lifetime
- 1997-03-03 JP JP9531514A patent/JPH10506744A/ja active Pending
- 1997-03-03 BR BR9702120A patent/BR9702120A/pt not_active Application Discontinuation
- 1997-03-03 US US08/930,122 patent/US6657956B1/en not_active Expired - Fee Related
- 1997-03-03 WO PCT/FR1997/000371 patent/WO1997033415A1/fr active IP Right Grant
- 1997-03-03 DE DE69729356T patent/DE69729356T2/de not_active Expired - Lifetime
- 1997-03-03 KR KR1019970707909A patent/KR100453320B1/ko not_active IP Right Cessation
- 1997-03-03 CN CNB971901643A patent/CN1143495C/zh not_active Expired - Fee Related
- 1997-03-03 AU AU19309/97A patent/AU712487B2/en not_active Ceased
- 1997-03-07 AR ARP970100907A patent/AR006137A1/es unknown
- 1997-11-06 NO NO19975115A patent/NO322668B1/no not_active IP Right Cessation
-
1998
- 1998-09-08 HK HK98110515A patent/HK1009687A1/xx not_active IP Right Cessation
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| KR100465301B1 (ko) * | 1999-11-22 | 2005-01-13 | 엘지전자 주식회사 | 유닉스 서버를 위한 사용자 인증 인터페이스 시스템 및 그 방법 |
Also Published As
| Publication number | Publication date |
|---|---|
| FR2745967A1 (fr) | 1997-09-12 |
| WO1997033415A1 (fr) | 1997-09-12 |
| DE69729356T2 (de) | 2005-11-03 |
| EP0826281A1 (fr) | 1998-03-04 |
| AR006137A1 (es) | 1999-08-11 |
| KR100453320B1 (ko) | 2005-04-19 |
| AU712487B2 (en) | 1999-11-11 |
| FR2745967B1 (fr) | 1998-04-17 |
| CN1181857A (zh) | 1998-05-13 |
| NO975115L (no) | 1998-01-06 |
| CN1143495C (zh) | 2004-03-24 |
| JPH10506744A (ja) | 1998-06-30 |
| TW305093B (en) | 1997-05-11 |
| EP0826281B1 (fr) | 2004-06-02 |
| BR9702120A (pt) | 1999-01-26 |
| HK1009687A1 (en) | 1999-09-10 |
| NO975115D0 (no) | 1997-11-06 |
| NO322668B1 (no) | 2006-11-20 |
| US6657956B1 (en) | 2003-12-02 |
| AU1930997A (en) | 1997-09-22 |
| DE69729356D1 (de) | 2004-07-08 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| KR100453320B1 (ko) | 적어도 하나의 서버에 대한 스테이션의 액세스를 보호하기 위한 방법 및 그를 사용한 장치 | |
| EP2230622B1 (en) | Mass storage device with automated credentials loading | |
| US7748031B2 (en) | Mass storage device with automated credentials loading | |
| US6694436B1 (en) | Terminal and system for performing secure electronic transactions | |
| JP5619007B2 (ja) | サーバ・オペレーションの認可を行うための装置、システムおよびコンピュータ・プログラム | |
| US20070208950A1 (en) | Secure object for convenient identification | |
| EP3584731B1 (en) | Authentication management method and system | |
| IL176378A (en) | Method for activation of an access to a computer system or to a program | |
| KR100426911B1 (ko) | 웹 상에서의 유에스비(usb) 키를 이용한 사용자 인증방법 | |
| CA3148185A1 (en) | Multi-factor authentication using confidant verification of user identity | |
| KR100320119B1 (ko) | 아이디 도용 감지 시스템 및 방법, 그 프로그램 소스를기록한 기록매체 | |
| WO2022024431A1 (ja) | Sim、通信装置、及びアプリケーション書き込み方法 | |
| WO2016122222A1 (ko) | 실물카드를 이용한 온라인 금융거래 본인인증 시스템 및 방법 | |
| EP1966974B1 (fr) | Systeme securise de saisie et de traitement de donnees d'authentification | |
| CA2221881C (fr) | Procede de securisation des acces d'une station a au moins un serveur et dispositif mettant en oeuvre le procede | |
| Bistarelli et al. | MOC via TOC using a mobile agent framework | |
| KR20140101504A (ko) | 스마트폰 뱅킹시스템의 인증방법 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| A201 | Request for examination | ||
| E701 | Decision to grant or registration of patent right | ||
| GRNT | Written decision to grant | ||
| FPAY | Annual fee payment |
Payment date: 20121002 Year of fee payment: 9 |
|
| FPAY | Annual fee payment |
Payment date: 20131007 Year of fee payment: 10 |
|
| LAPS | Lapse due to unpaid annual fee |